Подробное руководство по ipfw nat

[vadim64]

этот текст относится к разделу примера под заглавием "Для сети 192.168.1.0/24:"

Я имею ввиду, что подключение к серверу по SSH в том числе и из сети 192.168.1.0/24

а в статье говорится о трафике в интернет. Если пакеты в хидере будут иметь назначением адрес роутера, то они останутся на роутере.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Из статьи (про самый просто вариант)

Трафик дойдет до правила 1040 после чего выйдет из прохода IN фаервола, и попадет обратно в ip_input() где будет принято решение о том, что он предназначен не нам, а следовательно должен быть направлен в точку (4), в функцию ip_forward().

Код: Выделить всё

add 1040 allow ip from any to any via fxp0

Разве это правило говорит о том, что пакет предназначен не нам?
Получается, что к серверу даже по SSH не подключиться что ли?

Читайте классиков:
http://nuclight.livejournal.com/124348.html

Код: Выделить всё

Рассмотрим одну сторону роутера с рисунка выше более подробно, с точки зрения
вызовов функций в ядре (чуть более подробная картинка из мана). На самом деле,
с точки зрения функций, на рисунке выше нет двух сторон, она только одна,
и различается параметром - обрабатываемой сетевухой.

                приложения нашей машины                  natd
                                                        |    |
             ^                          V (5)           ^    v  вместо divert
             |   (4)  ____________      |               |    |    сюда можно
             |   .->-|ip_forward()|->---+     (8)     .--------.  подставить
         (3) |   |   `------------'     |        .->--| DIVERT |  netgraph и
             |   |                      |        |    `--------'  dummynet,
             |   |      .->--------------------+-'       (9) |    механизм и
             |   |      |               |      |             v  пути пакетов
             |   |      |               |      |             |  точно такие же
             |   |      |               +--<---|-----------<-+
             |   |      |               |      |             |
  ip_input() |  не нам  |  ip_output()  v (6)  ^             v
 .-----------|---|-.   /  .-------------|----. |             |
 |          нам /  |  |   | определить шлюз  | |             |
 |           | /   |  ^   | и сетевуху  |    | |             |
 |   кому пакет?   |  |   |             |    | |             |
 |           |     | /    |      ipfw_chk()->--'             |
 |      ipfw_chk()--'     |             |    |               |
 |___________|_____|      |_____________|____|               |
             |                          |                    |
         (2) ^                          V (7)                |
             |                          |                    |
             +---<---------------------------------------<---'
             |                          |
         (1) ^                          V
             |                          |
             |                          |
        ether_demux()           ether_output_frame() это для ipfw layer2, тут
             |                          |            оно нас не интересует
             ^                          V
             |   сетевые интерфейсы     |
             (железки), уровень драйверов            BPF работает здесь

То есть, пакет на входе передается драйвером в ether_demux(), затем он
попадает в ip_input(), в точку (2), где выполняются базовые проверки на
корректность пакета, после чего пакет прилетает в ipfw - функция ipfw_chk().
Допустим, правила были простые, без задействования других подсистем. Тогда,
вернувшись из ipfw, пакет продолжает движение по ip_input(), которая смотрит,
предназначен ли пакет нашей машине ("to me" в терминах ipfw), либо кому-то
другому. Если нам, то пакет уходит в точку (3), где решится, в какой сокет
какой юзерлэндной программе его отправить.

Если же пакет был предназначен не нам, пакет из ip_input() направится в
точку (4), где ip_forward() проверит, установлен ли sysctl, разрешающий
форвардинг, произведет декремент TTL и т.п. действия, после чего пакет
придет в точку (6), функцию ip_output(). Туда же он попадет напрямую, когда
какая-нибудь программа решит что-то отправить в сеть и передаст данные ядру.

После того как трафик прошел по правилам фаервола и вышел из него, решение о нам-не-нам/маршрутизации принимает TCP/IP стек FreeBSD.
IPFW это фильтр перед TCP/IP стеком.

[Anatol_Kov]

# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via em0

Вот эта строчка вызывает затруднение при вводе со строки. Скрипт не пишу. Пробую так - покомандно. В результате - illegal option. Какой правильный синтаксис?

[terminus]

Код: Выделить всё

kldstat

что выводит у вас?

Код: Выделить всё

ipfw add 10130 nat 1 ip from any to any via em0

тут все правильно должно быть...

[Anatol_Kov]

Вывод kldstat:
Id Refs Address Size Name
1 26 0x80400000 64d5bc kernel
2 10 0x8234c000 b000 netgraph.ko
3 1 0x8235d000 4000 ng_ether.ko
4 1 0x82361000 6000 ng_pppoe.ko
5 1 0x82368000 4000 ng_socket.ko
6 1 0x82430000 3000 ng_iface.ko
7 1 0x82438000 7000 ng_ppp.ko
8 1 0x82571000 4000 logo_saver.ko
9 1 0x8267c000 4000 ng_pptpgre.ko
10 1 0x82680000 5000 ng_ksocket.ko
11 1 0x82686000 4000 ng_mppc.ko
12 1 0x8268a000 2000 rc4.ko
13 1 0x8268c000 3000 ng_tcpmss.ko

[terminus]

libalias нет...

в rc.con напишите

Код: Выделить всё

firewall_nat_enable="YES"

и ребут

или без ребута

Код: Выделить всё

kldload libalias.ko

[Anatol_Kov]

Вот, спасибо. А то я только нашел, что надо пересобирать систему и ядро с поддержкой нат и libalias.

[icb]

Настроил ipfw, работает нормально.

Код: Выделить всё

#${FwCMD} nat 1 config if ${OutLan} reset deny_in
#${FwCMD} add nat 1 ip from any to any via ${OutLan}

${FwCMD} add allow tcp from any to any established
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}

${FwCMD} 65530 add allow ip from any to any

Как только подключаю NAT - доступ обрубается.
В чем может быть ошибка?

[terminus]

Настроил ipfw, работает нормально.

Как только подключаю NAT - доступ обрубается.
В чем может быть ошибка?

Код: Выделить всё

#${FwCMD} nat 1 config if ${OutLan} reset deny_in redirect_port tcp ${OutIp}:22 22
#${FwCMD} add nat 1 ip from any to any via ${OutLan}

${FwCMD} add allow tcp from any to any established
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}

${FwCMD} 65530 add allow ip from any to any

[icb]

Отрубается не только SSH, но и перестает пинговаться.
22 порт и ICMP я разрешаю ниже. Получается, что в NAT надо прописывать еще индивидуально проброс всего (что идет на сервер)?

[terminus]

нат запущен с deny_in - через такой никакие левые входящие соединения не идут.
Ставитье все дополнительные разрешения на ssh и ping до ната.

Код: Выделить всё

${FwCMD} nat 1 config if ${OutLan} reset deny_in

${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}

${FwCMD} add nat 1 ip from any to any via ${OutLan}

#это зачем?
${FwCMD} add allow tcp from any to any established
#

${FwCMD} add allow ip from ${OutIp} to any out xmit ${OutLan}

${FwCMD} 65530 add allow ip from any to any

[icb]

нат запущен с deny_in - через такой никакие левые входящие соединения не идут.

Параметр предписывает запрет пропускать через nat входящие пакеты для
которых нет совпадения во внутренней таблице активных соединений,
или же нет совпадения с другими правил демаскировки.

Если данный параметр не установлен то для входящих соединений
будет создаваться новая запись в таблице активных соединений
и пакет будет пропускаться.

Если не установить deny_in, то пакеты будут пробрасываться в локальную сеть?
Как мне их оставить на сервере?

#это зачем?
${FwCMD} add allow tcp from any to any established

# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)

Благодаря этому правилу я не отваливаюсь по SSH моментально и успеваю вырубить ipfw

[terminus]

Если не установить deny_in, то пакеты будут пробрасываться в локальную сеть?
Как мне их оставить на сервере?

то что будет приходить на внешний IP адрес, будет пролетать на сам сервер без остановок.
Если же пришедший пакет принадлежит к какому-нить соединению которое раньше было инициировано от клиента из локалки (уже имеет в нат таблице соответсвие), то тогда будет демаскировка и возврат в фаервол, а потом в локалку.

# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)

в таких случаях обычно используют keep-state а не так. Потому, что кто угодно может установить в TCP заголовке флаги:

Код: Выделить всё

established
	     Matches TCP packets that have the RST or ACK bits set.

и тогда прилетит что нить непонятное.

[icb]

то что будет приходить на внешний IP адрес, будет пролетать на сам сервер без остановок.
Если же пришедший пакет принадлежит к какому-нить соединению которое раньше было инициировано от клиента из локалки (уже имеет в нат таблице соответсвие), то тогда будет демаскировка и возврат в фаервол, а потом в локалку.

Какой вариант тогда правильнее: убрать deny_in или поместить разрешающие правила выше ната?

На текущий момент NAT вроде работает. ipfw show даже говорит что пакетики по этому правилу есть.
Но ни ping ни telnet (на 80-й порт) в интернет не проходят
Что еще надо подкрутить?

[terminus]

правилно делать так чтобы было проще. Мне проще когда есть deny_in и точно известно что ничего лишнего не прилетит если нет разрешения.

Код: Выделить всё

${FwCMD} nat 1 config if ${OutLan} reset deny_in

${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${OutIp} 22 via ${OutLan}
${FwCMD} add nat 1 ip from any to any via ${OutLan}
${FwCMD} add allow ip from any to any

Но ни ping ни telnet (на 80-й порт) в интернет не проходят

${OutLan} - сетевуха какая? em?

[icb]

${OutLan} - сетевуха какая? em?

bge

[vadim64]

to terminus: а зачем add allow ip from any to any в конце? и без неё всё же работает? или я задачу не понял?

[terminus]

Если у него 8.1, где поломан one_pass, то надо.
При deny_in оно безопасно.

[vadim64]

ааааа))))
я вот не давно с правильной ОС взаимодействую, и этот пресловутый глюк меня кстати в шок поверг и раздумья: а часто ребята что то в коде тамадят, что ломают такие широко распространённые вещи? кто нить может вспомнить скажем предыдущий такой косяк?

[priest.romeo]

Доброго времени суток уважаемые форумчане,

Собрал маршрутизатор на базе любимой ОС 8.1 64-bit, 5 сетевух, 2 ядра, 4 гектара мозга. Заметно торможение в ряде случаев, а именно при удалённом или локальном залогивании, при вводе netstat -r отображается вывод на экран почти с минутной задержкой до первого маршрута затем различной протяжённостью рывками. Подскажите в чём может быть дело, если кто сталкивался.

[terminus]

DNS глючит?

команда netstat -rn тоже долго отрабатывает?

Вывод top покажите.

[priest.romeo]

DNS глючит?

команда netstat -rn тоже долго отрабатывает?

Вывод top покажите.

DNS не глючит.
netstat -rn отрабатывает моментально без тормозов

[terminus]

netstat -rn отрабатывает моментально без тормозов

Это намекает на DNS - параметр -n это значит не проводить разрешение имен...

вывод топа никакой кримиральной нагрузки на систему не показывает.

[priest.romeo]

Спасибо. Это внесло ясность.

[voy22]

Блин, не получается рубить трафик, помогите - кто чем может.
Вот мё:

Код: Выделить всё

[voy@bsd:~]$ ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:40:45:20:b2:cf
        inet 178.140.187.130 netmask 0xffffff00 broadcast 178.140.187.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
[voy@bsd:~]$ ifconfig re0
re0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:4c:00:19:20
        inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
        inet 192.168.2.2 netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Вот /etc/firewall.sh - с которым все работает как надо - т.е (192.168.2.x) <->(192.168.2.1 <- nat -> 178.140.187.130) <-> INET

Код: Выделить всё

[voy@bsd:~]$ cat /etc/firewall2.sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush

# разрешаем все через интерфейс локальной сети
ipfw add 1040 allow ip from any to any via re0

# настройка ната.
ipfw nat 1 config log if rl0 reset same_ports deny_in

# заварачиваем все что проходит через внешний интерфейс в нат
ipfw add 10300 nat 1 ip from any to any via rl0

ipfw add 65534 deny all from any to any

А теперь пытаюсь сузить канал:

Код: Выделить всё

[root@bsd:/etc]# cat firewall3.sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush

# разрешаем все через интерфейс локальной сети
ipfw add 1040 allow ip from any to any via re0


ipfw pipe 1 config bw 500Kbit/s queue 60 gred 0.002/10/30/0.1
ipfw queue 1 config pipe 1 queue 60 mask src-ip 0xffffffff gred 0.002/10/30/0.1

ipfw pipe 2 config bw 250Kbit/s queue 60 gred 0.002/10/30/0.1
ipfw queue 2 config pipe 2 queue 60 mask dst-ip 0xffffffff gred 0.002/10/30/0.1

ipfw nat 1 config log if rl0 reset same_ports deny_in

ipfw add 10150 queue 1 ip from any to any out xmit rl0
ipfw add 10160 nat 1 ip from any to any via rl0
ipfw add 10170 queue 2 ip from any to any in recv rl0

ipfw add 10230 allow all from any to any
ipfw add 65534 deny all from any to any

запускаю:

Код: Выделить всё

[root@bsd:~]# /etc/firewall3.sh
Flushed all rules.
Flushed all pipes.
Flushed all pipes.
01040 allow ip from any to any via re0
ipfw nat 1 config if rl0 log deny_in same_ports reset
10150 queue 1 ip from any to any out xmit rl0
10160 nat 1 ip from any to any via rl0
10170 queue 2 ip from any to any in recv rl0
10230 allow ip from any to any
65534 deny ip from any to any

мониторим (в чем я плохо чего понимаю):

Код: Выделить всё

[root@bsd:~]# ipfw list
01040 allow ip from any to any via re0
10150 queue 1 ip from any to any out xmit rl0
10160 nat 1 ip from any to any via rl0
10170 queue 2 ip from any to any in recv rl0
10230 allow ip from any to any
65534 deny ip from any to any
65535 deny ip from any to any


[root@bsd:~]# ipfw pipe show
00001: 500.000 Kbit/s    0 ms   60 sl. 0 queues (1 buckets)
         GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
         burst: 0 Byte
00002: 250.000 Kbit/s    0 ms   60 sl. 0 queues (1 buckets)
         GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
         burst: 0 Byte
q00001: weight 1 pipe 1   60 sl. 3 queues (64 buckets)
         GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 20 ip      192.168.2.30/0             0.0.0.0/0     3387   310860  0    0   0
 24 ip   178.140.187.138/0             0.0.0.0/0     1807  1420406  0    0   0
 40 ip      192.168.2.32/0             0.0.0.0/0      383    22211  0    0   0
q00002: weight 1 pipe 2   60 sl. 0 queues (64 buckets)
         GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991

И в инет дорога закрыта.
Прошу помощи!